Re: Logs laufen voll

To: harry@knitter-edv-beratung.de
Cc: debian-user-german@lists.debian.org
Subject: Re: Logs laufen voll
From: "oeh univie edv lists" <edv-lists@oeh.univie.ac.at>
Date: Thu, 09 Feb 2017 20:30:11 +0100
Message-id: <[🔎] fc.0097250123f525680097250123f4b66d.23f5259f@reflex.at>
In-reply-to: <[🔎] f0f7f567-db2a-dce0-4cef-7c3882af6710@knitter-edv-beratung.de>
References: <[🔎] fc.0097250123f4b66d0097250123f4b66d.23f4b8df@reflex.at> <[🔎] f0f7f567-db2a-dce0-4cef-7c3882af6710@knitter-edv-beratung.de>

Hallo,

Wie kann ich das ausschalten?

Ich hab die Konfiguration ursprünglich so gemacht, wie es empfohlen wurde, also mit folgendem Eintrag in /etc/shorewall/policy :

> net all DROP info

Ich seh keinen Sinn darin, DROPs der Firewall zu loggen. Weiß wer, wann das Sinn macht?

lg, birgit

"Dr. Harry Knitter" <harry@knitter-edv-beratung.de> schreibt:

Am 09.02.2017 um 12:58 schrieb oeh univie edv lists:

> Hallo,

>

> Immer wieder gibt es massenhaft diese Einträge in kern.log, messages und

> syslog. Dann stoppt es wieder und geht aber einige Zeit später wieder los.

>

> Feb 8 16:04:51 x kernel: [1897347.768354] Shorewall:net-fw:DROP:IN=eth0

> OUT= MAC=03:15:15:9e:47:80:50:87:89:08:65:9d:15:00 SRC="">

> DST=180.123.140.130 LEN=36 TOS=0x00 PREC=0x00 TTL=244 ID=29193 PROTO=UDP

> SPT=38898 DPT=123 LEN=16

>

> Feb 9 06:25:05 x kernel: [1948961.127239] Shorewall:net-fw:DROP:IN=eth0

> OUT= MAC=03:15:15:9e:47:80:50:87:89:08:65:9d:15:00 SRC="">

> DST=180.123.140.130 LEN=36 TOS=0x00 PREC=0x00 TTL=244 ID=34742 PROTO=UDP

> SPT=11622 DPT=123 LEN=16

> Feb 9 06:25:05 x kernel: [1948961.136888] Shorewall:net-fw:DROP:IN=eth0

> OUT= MAC=03:15:15:9e:47:80:50:87:89:08:65:9d:15:00 SRC="">

> DST=180.123.140.130 LEN=36 TOS=0x00 PREC=0x00 TTL=244 ID=4875 PROTO=UDP

> SPT=7201 DPT=123 LEN=16

> Feb 9 06:25:05 x kernel: [1948961.136904] Shorewall:net-fw:DROP:IN=eth0

> OUT= MAC=03:15:15:9e:47:80:50:87:89:08:65:9d:15:00 SRC="">

> DST=180.123.140.130 LEN=36 TOS=0x00 PREC=0x00 TTL=244 ID=28067 PROTO=UDP

> SPT=7201 DPT=123 LEN=16

> Feb 9 06:25:05 x kernel: [1948961.139137] Shorewall:net-fw:DROP:IN=eth0

> OUT= MAC=03:15:15:9e:47:80:50:87:89:08:65:9d:15:00 SRC="">

> DST=180.123.140.130 LEN=36 TOS=0x00 PREC=0x00 TTL=244 ID=21418 PROTO=UDP

> SPT=53119 DPT=123 LEN=16

> Feb 9 06:25:05 x kernel: [1948961.139148] Shorewall:net-fw:DROP:IN=eth0

> OUT= MAC=03:15:15:9e:47:80:50:87:89:08:65:9d:15:00 SRC="">

> DST=180.123.140.130 LEN=36 TOS=0x00 PREC=0x00 TTL=244 ID=47537 PROTO=UDP

> SPT=53119 DPT=123 LEN=16

>

> Es ist auch immer UDP und Port 123 (NTP). Sogar die LEN ist immer gleich.

> Die IP ändert sich aber bei jeder Attacke.

>

> Eigentlich muss ich mir ja keine Sorgen machen, weil die shorewall alles

> dropped, oder? (Wegen den NTP Angriffen habe ich schon "disable monitor"

> in /etc/ntp.conf konfiguriert um dieses Sicherheitproblem auszuschließen:

> https://wiki.univie.ac.at/display/CERT/Tag+Vuln.ntpd_monlist )

>

> Das Problem ist aber, dass die Logs kern.log, messages und syslog

> GB-Größe erreichen. Mein /var/log ist auf 10GB insgesamt begrenzt. Wie

> kann ich dem Logging beibringen, dass es weniger mitloggt? (Ist das der

> richtige Weg?) In /etc/shorewall/policy habe ich schon von "info" auf

> "warning" das log level hochgesetzt, aber ohne Erfolg.

>

> lg, birgit

>

>

> 12:42:26 # cat /etc/shorewall/policy

> #

> # Shorewall version 4 - Policy File

> #

> # For information about entries in this file, type "man shorewall-policy"

> #

> # The manpage is also online at

> # http://www.shorewall.net/manpages/shorewall-policy.html

> #

> ###############################################################################

> #SOURCE DEST POLICY LOG LIMIT: CONNLIMIT:

> # LEVEL BURST MASK

> #sollte eventuell geschlossen werden, denn wozu soll fw überall

> hindürfen?

> $FW all ACCEPT

> lan all DROP info

> net all DROP warning

> #muss am Ende stehen

> all all REJECT info

>

> 12:43:11 # cat /etc/shorewall/rules

> #

> # Shorewall version 4 - Rules File

> #

> # For information on the settings in this file, type "man shorewall-rules"

> #

> # The manpage is also online at

> # http://www.shorewall.net/manpages/shorewall-rules.html

> #

> ######################################################################################################################################################################################################

> #ACTION SOURCE DEST PROTO

> DEST SOURCE ORIGINAL RATE USER/ MARK

> CONNLIMIT TIME HEADERS SWITCH

> HELPER

> #

> PORT PORT(S) DEST LIMIT GROUP

> ?SECTION ALL

> ?SECTION ESTABLISHED

> ?SECTION RELATED

> ?SECTION INVALID

> ?SECTION UNTRACKED

> ?SECTION NEW

>

> Invalid(DROP) net $FW tcp

> Invalid(DROP) net $FW udp

>

> Ping(ACCEPT) lan $FW

> #SMB(ACCEPT) lan $FW

> ActiveDir(ACCEPT) lan $FW

> DNS(ACCEPT) lan $FW

> ACCEPT lan $FW tcp

> 1024

>

>

>

>

wenn Dich nur die Datenmenge stört (Deine Firewall sagt ja DROP), dann

schalt hat das logging aus.

Gruß

Harry

Reply to:

Follow-Ups:
- Re: Logs laufen voll
  - From: Sebastian Suchanek <sebastian.suchanek@gmx.de>
- Re: Logs laufen voll
  - From: "Dr. Harry Knitter" <harry@knitter-edv-beratung.de>
- Re: Logs laufen voll
  - From: Alexander Reichle-Schmehl <alexander@alphamar.org>

References:
- Logs laufen voll
  - From: "oeh univie edv lists" <edv-lists@oeh.univie.ac.at>
- Re: Logs laufen voll
  - From: "Dr. Harry Knitter" <harry@knitter-edv-beratung.de>

Prev by Date: Re: Max open files
Next by Date: Re: Logs laufen voll
Previous by thread: Re: Logs laufen voll
Next by thread: Re: Logs laufen voll
Index(es):
- Date
- Thread